※ 引述《kobers (kobe bryant)》之铭言:
: 1.媒体来源:科技新报
: 请写出完整媒体来源!例如中国时报、TVBS等,没写者一率删除。
: 2.完整新闻标题/内文:
: 红米 Note 暗地传送资料至中国 机上盒、App 也藏木马
: 作者 cooper | 发布日期 2014 年 07 月 19 日 |
: 分类 Android 手机 , 手机 , 资讯安全
: 小米手机最近几年无论在在中国或台湾市场的销售都不错,由于规格与价位相对划算,只
: 要在网络上开放订购,几乎都以“秒杀”的速度被订购一空。虽然小米机的有着高 CP 值
: 的评价,不过最近在香港讨论区中,使用者实测了小米推出的红米 Note 手机,发现红米
: Note 居然会在背地里传送资料至中国服务器,除此之外,多款中国推出的 Android 影
: 音多媒体软件也被报导内建木马程式。
: 难以阻挡红米 Note 背景传送
: 香港手机讨论区 IMA-Mobile 的使用者 Kenny Li 本身在测试红米 Note 时意外发现,红
: 米 Note 会在没知会使用者下,迳行与 IP 位于中国的服务器连线,这连线资料传送的动
: 作多半是手机处于 Wi-Fi 连时发生的,而采用 3G 连线时则只会进行交握(handshake)
: 连线,没有明显大量传送资料。
: 为了解不同版本的差异,Kenny Li 还分别测试了中国本地发售的联通版与在香港、台湾
: 两地贩售的国际版,发现两个版本同样都会连线至中国服务器,只不过前者情形更为明显
: 与夸张。除此之外,就算 root 把小米内建软件移除并重刷其他版本的韧体,传送的情形
: 也依然存在,根据讨论区的猜测,可能这部分的机制可能已写在 firmware 中,无从改变
: 。
: 至于红米 Note 传送了什么东西呢?如果是韧体检查等资料就算了,但从图片来看,可以
: 看到被指向中国服务器是储存照片的“Media Stroge”,这点就有点说不过去了,除此之
: 外短信也同样会经过中国服务器,看来红米 Note 会自行的帮使用者“审核”与“远端备
: 份”呢。
: 目前测试中只针对红米 Note,尚不无其他小米手机是否有着类似的情形,因此本身对个
: 人隐私较为敏感的人,恐怕是避开这些手机比较保险。
: 机上盒、影音 App 也有木马
: Unknown同样也是来自香港的消息,《东周刊》也报导,透过网络安全公司 Nexusguard
: 的测试下发现,多款中国的影音机上盒与影音多媒体 App 都被内建了木马。测试的四款
: 机上盒有小米盒子第二代越狱版、英菲克 i9、英菲克 i6 和海美迪 H8 四部,结果发现
: 小米、英菲克等三部都有名为“Android.Spy.origin.83”的木马程式,英菲克那两部更
: 多了“Android.DDoS.origin.1”这个 DDoS 攻击程式,海美迪则只有一个播广告的木马
: ,算是危害较少的。
: 影音软件方面则发现 PPTV、PPS 影音、优酷视频、风行视频四个 Android 版的 App 均
: 内建了“Android.Spy.origin.83”的木马程式,而这几个线上影音串流软件又是普遍为
: 使用者安装使用的,而许多骇客则可透过这支木马来安装更具破坏力的恶意程式。
: 在一只同时安装了 PPS、PPTV 与优酷三个软件的 Android,Nexusguard 的专家只要 5
: 分钟就可以侵入手机,开启手机的照片,甚至还可以启用相机与麦克风功能,全程透过手
: 机监看监听,除了隐私受侵害之外,如果安装其他的发送短信、盗打电话的功能,对使用
: 者的直接伤害就更大了。
: a.(该新闻是否超过三天?搜寻一下有没有OP?)
: b.(社论特稿都不能贴!违者劣退,贴广告会被劣喔!)
: 3.新闻连结:http://technews.tw/2014/07/19/xiaomi-note-privacy/
: 4.备注:就跟你们说 A______d 的手机都是垃圾你就不相信
: (一个人一天只能张贴一则新闻,"被删"或"自删"也算额度内,超贴者劣文"请注意")
原文讨论
http://ppt.cc/mW53
最新进度:
20140720 / 01:16AM 补充:
终于等到 小米公司的回应! 但好可惜, 小米公司只选择在 台湾那边回应而尚未对香港用
户作出同样回应! 所以我依然好惊呀!!!! 附 台湾苹果报导:
http://tinyurl.com/q86d7yd
根据 小米回应内容 :
"涉及用户隐私的”小米帐号”和“小米云服务“,如用户个人资料、照片、短信等,小
米、红米系列所有产品都是默认关闭此类网络服务,需使用者同意后主动开启,且开启后
仍可随时关闭;“小米帐号”和”小米云服务“"
"至于近日个别使用者发文担心的网络服务隐私问题,其所指的其实是”不涉及使用者隐
私的网络服务“,主要是一些提供公共资料获取的网络服务,如推荐短信(针对不同节日
向使用者推荐的短信内容),主题,作业系统miui ota升级包。这些资料是需要连到总公
司的服务器进行验证。所传输资料皆不涉及使用者隐私。"
但以上解释, 并没有正面回应我的测试, 因我是经过多晚测试之下作出合理担心! 并非开
一开 OS Monitor 就当完事! 请 小米公司再正面回应如下:
1) 我并没有开启 "网络短信", "小米帐号" 和 "小米云服务" 为何依然会连线都北京的
IP ?
2) 我已经铲除所有 小米内置 APP (包括: CloudService.app ConfigUpdater.apk 及
XiaomiServiceFramework.apk 等等) 为何依然会连线都北京的 IP ?
3) 我已经加装 firewall, 为何依然会连线都北京的 IP ?
4) 最重要一个问题, 为何我去每次 Google Play 下载任何一个 APP 或经 Gmail 下载一
个附件时, 只要经 Download Manager 都要经过北京 IP ?
4) 最重要一个问题, 为何我去每次 Google Play 下载任何一个 APP 或经 Gmail 下载一
个附件时, 只要经 Download Manager 都要经过北京 IP ?
4) 最重要一个问题, 为何我去每次 Google Play 下载任何一个 APP 或经 Gmail 下载一
个附件时, 只要经 Download Manager 都要经过北京 IP ?
4) 最重要一个问题, 为何我去每次 Google Play 下载任何一个 APP 或经 Gmail 下载一
个附件时, 只要经 Download Manager 都要经过北京 IP ?
4) 最重要一个问题, 为何我去每次 Google Play 下载任何一个 APP 或经 Gmail 下载一
个附件时, 只要经 Download Manager 都要经过北京 IP ?